GC and Others v Commission nationale de l'informatique et des libertés (CNIL).

JurisdictionEuropean Union
ECLIECLI:EU:C:2019:773
Date24 September 2019
Celex Number62017CJ0136
CourtCourt of Justice (European Union)
Procedure TypeReference for a preliminary ruling
Docket NumberC-136/17
62017CJ0136

ARRÊT DE LA COUR (grande chambre)

24 septembre 2019 ( *1 )

« Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données figurant sur des pages web – Directive 95/46/CERèglement (UE) 2016/679 – Moteurs de recherche sur Internet – Traitement des données contenues dans des sites web – Catégories de données spécifiques visées à l’article 8 de cette directive et aux articles 9 et 10 de ce règlement – Applicabilité de ces articles à l’exploitant du moteur de recherche – Portée des obligations de cet exploitant au regard desdits articles – Publication des données sur des sites web aux seules fins de journalisme ou d’expression artistique ou littéraire – Incidence sur le traitement d’une demande de déréférencement – Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne »

Dans l’affaire C‑136/17,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Conseil d’État (France), par décision du 24 février 2017, parvenue à la Cour le 15 mars 2017, dans la procédure

GC,

AF,

BH,

ED

contre

Commission nationale de l’informatique et des libertés (CNIL),

en présence de :

Premier ministre,

Google LLC, venant aux droits de Google Inc.,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. A. Arabadjiev, Mme A. Prechal, M. T. von Danwitz, Mme C. Toader et M. F. Biltgen, présidents de chambre, MM. M. Ilešič (rapporteur), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda et S. Rodin, juges,

avocat général : M. M. Szpunar,

greffier : Mme V. Giacobbo-Peyronnel, administratrice,

vu la procédure écrite et à la suite de l’audience du 11 septembre 2018,

considérant les observations présentées :

pour AF, par lui-même,

pour BH, par Me L. Boré, avocat,

pour la Commission nationale de l’informatique et des libertés (CNIL), par Mme I. Falque-Pierrotin ainsi que par MM. J. Lessi et G. Le Grand, en qualité d’agents,

pour Google LLC, par Mes P. Spinosi, Y. Pelosi et W. Maxwell, avocats,

pour le gouvernement français, par MM. D. Colas et R. Coesme ainsi que par Mmes E. de Moustier et S. Ghiandoni, en qualité d’agents,

pour l’Irlande, par Mmes M. Browne, G. Hodge et J. Quaney ainsi que par M. A. Joyce, en qualité d’agents, assistés de Mme M. Gray, BL,

pour le gouvernement hellénique, par Mmes E.-M. Mamouna, G. Papadaki, E. Zisi et S. Papaioannou, en qualité d’agents,

pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de MM. F. De Luca et P. Gentili, avvocati dello Stato,

pour le gouvernement autrichien, par MM. G. Eberhard et G. Kunnert, en qualité d’agents,

pour le gouvernement polonais, par M. B. Majczyna ainsi que par Mmes M. Pawlicka et J. Sawicka, en qualité d’agents,

pour le gouvernement du Royaume-Uni, par M. S. Brandon, en qualité d’agent, assisté de M. C. Knight, barrister,

pour la Commission européenne, par MM. A. Buchet, H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 10 janvier 2019,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2

Cette demande a été présentée dans le cadre d’un litige opposant GC, AF, BH et ED à la Commission nationale de l’informatique et des libertés (CNIL) (France) au sujet de quatre décisions de cette dernière refusant de mettre en demeure Google Inc., devenue Google LLC, de procéder à des déréférencements de divers liens inclus dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir de leur nom, et menant vers des pages web publiées par des tiers.

Le cadre juridique

Le droit de l’Union

La directive 95/46

3

La directive 95/46 a, selon son article 1er, paragraphe 1, pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données.

4

Les considérants 33 et 34 de la directive 95/46 énoncent :

« (33)

considérant que les données qui sont susceptibles par leur nature de porter atteinte aux libertés fondamentales ou à la vie privée ne devraient pas faire l’objet d’un traitement, sauf consentement explicite de la personne concernée ; que, cependant, des dérogations à cette interdiction doivent être expressément prévues pour répondre à des besoins spécifiques [...]

(34)

considérant que les États membres doivent également être autorisés à déroger à l’interdiction de traiter des catégories de données sensibles lorsqu’un motif d’intérêt public important le justifie [...] ; qu’il leur incombe, toutefois, de prévoir les garanties appropriées et spécifiques aux fins de protéger les droits fondamentaux et la vie privée des personnes ».

5

L’article 2 de cette directive dispose :

« Aux fins de la présente directive, on entend par :

a)

“données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; [...]

b)

“traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[...]

d)

“responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; [...]

[...]

h)

“consentement de la personne concernée” : toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

6

Sous le chapitre II, section I, de ladite directive, intitulée « Principes relatifs à la qualité des données », l’article 6 de la même directive est libellé comme suit :

« 1. Les États membres prévoient que les données à caractère personnel doivent être :

a)

traitées loyalement et licitement ;

b)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. [...]

c)

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

d)

exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »

7

Sous le chapitre II, section II, de la directive 95/46, intitulée « Principes relatifs à la légitimation des traitements de données », l’article 7 de cette directive dispose :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

[...]

f)

il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

8

Sous le chapitre II, section III, de ladite directive, intitulée « Catégories particulières de traitement », figurent les articles 8 et 9 de la même directive. Cet article 8, intitulé « Traitements portant sur des catégories particulières de données », prévoit :

« 1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

2. Le paragraphe 1 ne s’applique pas lorsque :

a)

la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où...

To continue reading

Request your trial
18 practice notes
  • Proximus NV v Gegevensbeschermingsautoriteit.
    • European Union
    • Court of Justice (European Union)
    • 27 October 2022
    ...17, apartado 2, [véase, en este sentido, la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartado 35 y jurisprudencia 96 Por tanto, en circunstancias como las del litigio principal, hay que considerar que un responsable ......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 4 May 2023.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...Deutsche Post (C‑496/17, EU:C:2019:26), punto 57, e quelle ivi citate; del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili) (C‑136/17, EU:C:2019:773), punto 64; e del 22 giugno 2021, Latvijas Republikas Saeima (Punti di penalità per infrazioni stradali) (C‑439/19, EU:C:2021:5......
  • TU and RE v Google LLC.
    • European Union
    • Court of Justice (European Union)
    • 8 December 2022
    ...Google Spain and Google, C‑131/12, EU:C:2014:317, paragraph 41, and of 24 September 2019, GC and Others (De-referencing of sensitive data), C‑136/17, EU:C:2019:773, paragraph 50 Indeed, as recalled in paragraph 44 of the present judgment, the processing of personal data carried out in the c......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 25 May 2023.
    • European Union
    • Court of Justice (European Union)
    • 25 May 2023
    ...de travail « Protection des données », du 16 octobre 2014. 19 Arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 44) : « [...] [les] exigences spécifiques [...] aux traitements portant sur les catégories particulières [de] données [ont......
  • Request a trial to view additional results
19 cases
  • UZ v Bundesrepublik Deutschland.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...penales [véanse, en este sentido, las sentencias de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles), C‑136/17, EU:C:2019:773, apartados 72 a 75, y de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico), C‑439/19, EU:C:2021:504, a......
  • Opinion of Advocate General Medina delivered on 8 June 2023.
    • European Union
    • Court of Justice (European Union)
    • 8 June 2023
    ...ID (C‑40/17, EU:C:2019:629, punto 70). 34 V., in tal senso, sentenza del 24 settembre 2019, GC e a. (Deindicizzazione di dati sensibili), (C‑136/17, EU:C:2019:773, punto 35 Sentenza Google Spain, punto 34. 36 V. considerando 1 del RGPD. 37 V. infra, paragrafo 68. 38 Sentenza dell’8 dicembre......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 4 May 2023.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...Post (C‑496/17, EU:C:2019:26), apartado 57, y las que cita; de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles) (C‑136/17, EU:C:2019:773), apartado 64; y de 22 de junio de 2021, Latvijas Republikas Saeima (Puntos por infracciones de tráfico) (C‑439/19, EU:C:2021:......
  • B v Latvijas Republikas Saeima.
    • European Union
    • Court of Justice (European Union)
    • 22 June 2021
    ...by Articles 7 and 8 of the Charter (see, to that effect, judgment of 24 September 2019, GC and Others (De-referencing of sensitive data), C‑136/17, EU:C:2019:773, paragraph 75 Since the data to which Article 10 of the GDPR refers relates to behaviour that gives rise to social disapproval, t......
  • Request a trial to view additional results
1 firm's commentaries

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT